• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Vulnerabilidades en RouterOS permiten root sin autenticación

Vulnerabilidades en RouterOS permiten root sin autenticación

29 octubre, 2019 Por Juan José Oyagüe 2 comentarios

Las vulnerabilidades aprovechan la caché DNS del router para modificar la resolución a los dominios de actualización

RouterOS es un sistema operativo basado en Linux desarrollado para los routers MikroTik, aunque su instalación puede efectuarse en cualquier otro equipo como un PC. Este sistema cuenta con una serie de utilidades de código cerrado como es su propio comando ‘resolve’, el cual utiliza el protocolo de routerOS Winbox para la conexión con el router.

Es en esta utilidad que Jacob Baines de Tenable ha encontrado una vulnerabilidad por la cual no se valida la autenticación para ejecutar ‘resolve’, por lo que cualquier usuario sin autenticar puede utilizarlo, tal y como demuestra en una Prueba de Concepto (PoC). Esto en un principio no supone un gran problema, aunque sí lo es que las resoluciones DNS del comando se guarden en la caché DNS del router, ya que es posible elegir el servidor DNS que se usará para la resolución.

Aprovechando que se puede elegir el DNS que se usará para resolver la petición, y que ésta se cacheará en la tabla DNS del router, un atacante podría tomar el control del servidor DNS si estuviese en uso por los clientes. Pero esto no se queda aquí, ya que dicha caché se utiliza (sin necesidad de estar activado el modo servidor DNS) para la resolución de los servidores de actualización del router.

Aunque toda la comunicación con los servidores de RouterOS para actualizarse se realiza mediante HTTP sin cifrar, los paquetes que descarga sí están firmados, por lo que no es posible actualizar a una versión modificada sin que valide la firma. No obstante, un bug permite hacer downgrade a una versión vulnerable, teniendo la 6.45.6 la particularidad de que resetea las contraseñas al hacer downgrade, sólo teniendo que esperar el atacante a que el router se desactualice para acceder con las credenciales por defecto.

De momento no hay un parche que solucione las vulnerabilidades, aunque no es suficiente con parchear la autenticación en ‘resolve’: es necesario que las peticiones que realice no se cacheen. La única solución de momento es desactivar el protocolo Winbox de routerOS para evitar ser víctimas de este ataque, al menos hasta que se publique un parche.

Actualización:
La versión 6.45.7 de RouterOS soluciona las vulnerabilidades aquí descritas, identificadas como CVE-2019-3976, CVE-2019-3977, CVE-2019-3978 y CVE-2019-3979. ¡Gracias a los comentarios por avisar!

Más información:

RouterOS, chain to Root:
https://medium.com/tenable-techblog/routeros-chain-to-root-f4e0b07c0b21

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Técnicas de Análisis Forense

Una al día

Open Source INTelligence (OSINT)

Publicado en: General, Vulnerabilidades Etiquetado como: DNS, mikrotik, root, routeros

Interacciones con los lectores

Comentarios

  1. Uno mas dice

    30 octubre, 2019 a las 1:29 pm

    El día 24 de Octubre liberaron una actualización que corrige los problemas que comentas en el post:

    What’s new in 6.45.7 (2019-Oct-24 08:44):

    MAJOR CHANGES IN v6.45.7:
    ———————-
    !) lora – added support for LoRaWAN low-power wide-area network technology for MIPSBE, MMIPS and ARM;
    !) package – accept only packages with original filenames (CVE-2019-3976);
    !) package – improved package signature verification (CVE-2019-3977);
    !) security – fixed improper handling of DNS responses (CVE-2019-3978, CVE-2019-3979);
    ———————-

    Changes in this release:

    *) capsman – fixed frequency setting requiring multiple frequencies;
    *) capsman – fixed newline character missing on some logging messages;
    *) conntrack – properly start manually enabled connection tracking;
    *) crs312 – fixed combo SFP port toggling (introduced in v6.44.5);
    *) crs3xx – correctly display link rate when 10/100/1000BASE-T SFP modules are used in SFP+ interfaces;
    *) crs3xx – fixed management access when using switch rule «new-vlan-priority» property;
    *) export – fixed «bootp-support» parameter export;
    *) ike2 – fixed phase 1 rekeying (introduced in v6.45);
    *) led – fixed default LED configuration for RBLHG5nD;
    *) lte – fixed modem not receiving IP configuration when roaming (introduced in v6.45);
    *) radius – fixed open socket leak when invalid packet is received (introduced in v6.44);
    *) sfp – fixed «sfp-rx-power» value for some transceivers;
    *) snmp – improved reliability on SNMP service packet validation;
    *) system – improved system stability for devices with AR9342 SoC;
    *) winbox – show SFP tab for QSFP interfaces;
    *) wireless – added «canada2» regulatory domain information;
    *) wireless – improved stability when setting fixed primary and secondary channels on RB4011iGS+5HacQ2HnD-IN;

    Responder
    • Juan José Oyagüe dice

      30 octubre, 2019 a las 1:35 pm

      ¡Gracias por tu ayuda! Actualizamos la noticia.

      Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021
  • DigitalOcean se deshace de Mailchimp tras el ataque que sufrieron
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco afectada por ransomware Yanluowang

Entradas recientes

  • Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021
  • DigitalOcean se deshace de Mailchimp tras el ataque que sufrieron
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021
  • DigitalOcean se deshace de Mailchimp tras el ataque que sufrieron
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...